T1003 - 認証情報ダンピング検出ツールプレイブックを使用する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • このプレイブックを使用して、認証情報ダンピングアクティビティに関連するインシデントを調査します。以下に示すステップは、T1003 - 認証情報ダンピング検出ツールプレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. プレイブックがトリガーされて実行が開始されたら、アクション 1 で、ユーザーのアカウントに関する情報を収集する必要があります。
      • ホストのアクティビティをチェックして、疑わしいアクティビティを探す必要があります。
      • サーバー/エンドポイント/VM の所有者を特定し、ツールに関連するデータをキャプチャする必要があります。
      • ユーザーの他のアカウントに関する情報を収集する必要があります。
    2. アクション 2 では、これが利用規定 (AUP) 違反の可能性があるかどうかを確認する必要があります。
      収集した証拠でピアレビューを行い、そのユーザーに連絡するかどうかを地域のインシデントマネージャーに相談できます。
    3. アクション 3 では、利用規定 (AUP) 違反の場合に、次のアクションを実行します。
      1. アクション 4 では、これが利用規定 (AUP) 違反のケースであるセキュリティインシデントを更新する必要があります
      2. アクション 5 で、フローは終了します。
    4. アクション 6 では、これまでに行った調査に基づいて、これが内部関係者の脅威の可能性があるかどうかを確認する必要があります。
      図 : 1. T1003 - 認証情報ダンピング検出ツールプレイブック
      これが内部関係者の脅威の可能性があるかどうかを調査するための応答タスク。
    5. アクション 7 では、これが内部関係者の脅威の場合に、次のアクションを実行します。
      1. アクション 8 では、IT サポートに連絡してアカウントの凍結を要求します。
      2. アクション 9 では、悪意のある IP をブロックする必要があります。
      3. アクション 10 では、社内の従業員にメールで連絡する必要があります。
        提供されたメールテンプレートを使用して、社内従業員に連絡できます。
      4. アクション 11 では、封じ込めを解除し、システムを運用標準に戻す必要があります。
        フローが終了します。
        図 : 2. 封じ込めを解除するための対応タスク
        封じ込めを解除し、システムを運用標準に戻すための対応タスク。
    6. アクション 12 では、これが内部関係者の脅威でない場合に、アクション 13 で、ピアレビューを実行して、これを除外リストに追加する必要があるかどうかを判断する必要があります。
      フローが終了します。
    7. アクション 14 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。